受信した、"ID: c10308a2"エラー メッセージ、Active Directory Users とコンピューターをリモートで追加または Exchange Server 2003 の mail-enabled ユーザーの電子メール アドレスを編集する snap-in

Microsoft Exchange Server 2003 が Microsoft Windows Server 2003 Service Pack 1 (SP1) をインストールするサーバーで実行しています。 リモートで追加またはメールが有効なユーザーの電子メール アドレスを編集する、Active Directory ユーザーとコンピューター スナップインを使用する、次のエラー メッセージが表示されます。また、以下の条件に該当このエラー メッセージが表示されます。

• リモートで接続する Exchange Server 2003 を Exchange システム マネージャーを使用しています。
• リモートの Exchange サーバーのローカル管理者の ID がありません。

この問題は、次の条件に該当する場合に発生します：

• ユーザーは、委任された Exchange Server 管理者の役割です。
• 委任された Exchange Server 管理者の役割をあるユーザーがいない Domain Admins グループまたは Exchange サーバー上でローカル管理者グループのメンバーです。
• Exchange Server 2003 セキュリティ強化のテンプレートを実装しました。

したがって、ユーザーにログオンできない、Exchange サーバーです。

Windows Server 2003 SP1 は、管理者は、サービス コントロール マネージャー (SCM) にリモート アクセスではないユーザーが機能制限します。 したがって、Exchange システム マネージャーまたは Active Directory ユーザーとコンピューター スナップイン特定できません、Exchange Server サービスを実行しています。

メモ この問題は、Windows Server 2003 SP1 が、Exchange サーバーにインストールされていない場合は発生しません。

この問題を回避するには、以下の手順を実行します。

手順 1: インストール Exchange システム マネージャー、ネットワークに接続されているワークステーション

1. Exchange Server 2003 の CD をコンピューターの CD ドライブに挿入します。
2. Exchange セットアップ プログラムが自動的に起動したら、[ Exchange デプロイメント ツール ] をクリックします。 それ以外の場合は、CD のルート フォルダーから Setup.exe を実行します。
3. Exchange システム管理ツールだけ クリックします。
4. ウィザードで Exchange システム マネージャーをインストールする手順を完了します。

Windows XP 上で Exchange システム管理ツールをインストールするときに考慮しなければする要因についてについては、資料の「サポート技術情報」(Microsoft Knowledge Base) を表示する次の資料番号をクリック。

手順 2: クライアント ワークステーションで、ネットワーク モニター トレースを起動します。

メモ Exchange システム マネージャーはいない Exchange サーバー上で実行されていることを確認します。

手順 A: ネットワーク モニターをインストールします。

Windows ネットワーク モニターをインストールするには、まず、ネットワーク モニター ドライバーをインストールする必要があります。 次に、ネットワーク モニター ツールをインストールします。 ネットワーク モニター ドライバーをインストールするには、次の手順に従います。

1. [スタート ] をクリックして の設定 ] をポイントし、 ネットワーク接続 をクリックします。
2. ローカル エリア接続することで、目的をダブルクリックして プロパティ をクリックします。
3. [ 全般 ] タブの [ インストール </a0> をクリックします。
4. [ プロトコル ] をクリックして [ 追加 ] をクリックします。
5. ネットワーク モニター ドライバー ] をクリックし、 [OK] を実行します。
6. を 閉じる 2 回クリックし、 ネットワーク接続 ウィンドウを閉じます。

ネットワーク モニター ツールをインストールするには、次の手順に従います。

1. [スタート ] をクリックして の設定 ] を] ポイントして [ コントロール パネル] の順 にクリックします。
2. [Windows の追加と削除コンポーネント 。
3. [ 管理とモニター ツール ] をクリックし 、詳細 を実行します。
4. [印刷] をクリック、 ネットワーク監視ツール ] チェック ボックスをオンに、[ OK] をクリック します。
5. [ 次へ </a0>] をクリックします。 ディスクを挿入するように求められたらは、Windows Server 2003 の CD を CD ドライブに挿入します。 手順 6 に移動します。 ファイルがネットワーク共有上にある場合、 [OK] をクリックして、 参照] をクリックして、適切なフォルダーに移動し、 ファイルを開く 。
6. [OK] の終了日] 、[し、[ プログラムの追加と削除 ] ダイアログ ボックスを閉じます。

ネットワーク モニター トレースを B: 開始ステップします。

1. 開始 ] をクリックして、 プログラム ] をポイントし、 管理ツール ] をポイントして [ ネットワーク モニター ] をクリックします。
2. [ キャプチャ ] の [ ネットワーク ] をクリックします。
3. ローカル コンピューター の展開、ローカル エリア接続をクリックし、 [OK] 。
4. [ キャプチャ ] の [ 開始 ] をクリックします。

手順 3: 問題を再現します。

1. Active Directory ユーザーとコンピューター スナップインを開く、ワークステーションにします。 、に接続、ユーザーをホストするドメイン コントローラーを変更しアカウント。
2. 手順の「現象」に記載されているエラーが発生した実行します。 エラーが表示されたら、ネットワーク モニターを起動して次の手順を実行します。
   1. [ キャプチャ] メニューの [、 停止 をクリックします。
   2. [ ファイル ] の [ 名前を付けて保存 ] をクリックします。
   3. [ ファイル名 ] ボックスでは、適切なファイルの名前が入力を 保存 をクリックします。 ファイルは、.cap ファイル名拡張子に保存されます。

手順 4: ネットワーク モニター トレースを確認します。

ネットワーク モニター トレースを確認するにはキャプチャするファイルを開きますしてエントリの一覧を調べます。、 これを行うには、次の手順を実行します。

1. ネットワーク モニターで、 ファイル メニュー ファイルを開く ] をクリックします。
2. キャプチャすると、ファイルをクリックし、 ファイルを開く 。

ネットワーク モニター トレースを確認すると、Exchange システム マネージャーのサービス コントロール マネージャーをバインドするかどうかが表示します。 ネットワーク モニター トレースでは、このバインドは UUID に RPC バインドとして表示されます 367ABB81-9844-35F1-AD32-98F038001003 です。 RPC バインドに成功した、OpenSCManager、opnum 0xF の呼び出しによって行われます。 opnum 0xF の呼び出しが失敗した場合の応答にはパケットのデータの末尾にエラー コードが含まれてされます。 この例では、エラー コードが太字強調表示されます。ここでは、アクセスが拒否されるエラー コードは 0x5 を示しています。 opnum 0xF の呼び出しが、0x5 失敗した場合、エラー コード、ユーザーはアクセス許可サービス コントロール マネージャーにはありません。 この問題を解決するのににはアクセス許可を変更するのに、 sc sdset SCMANAGER コマンドを使用します。 アクセス許可を変更する方法の詳細については、"方法 1: Sc.exe ツールを使用して認証されたユーザーに十分なアクセス許可を与えるを"セクション。

場合は、opnum 0xF 呼び出しが成功した、応答にはエラー コードの代わりにハンドルが含まれます。 次の出力は、成功した opnum 0xF 呼び出しの例です。次に、OpenService または opnum 0x10、呼び出しが行われました。 もう一度 opnum 0x10 呼び出しが失敗した場合応答が含まはれて、パケット データの末尾にエラー コードには。 この例では、エラー コードが太字強調表示されます。OpenService の呼び出しが、エラー コード 0x5 失敗した場合、ユーザーは、サービス自体にアクセス許可がありません。 0x10 要求のパケット データでが開かれるサービスの名前が表示できます。 この例では、サービスが開かれるの太字強調表示されます。操作が、この段階で失敗した場合、アクセス許可をサービス自体に追加する必要があります。 サービスへのアクセス許可の追加方法については、"方法 2: ユーザー アカウントに読み取りおよび書き込みアクセス許可を追加"セクション。

手順 5: 適切なアクセス許可を変更します。

管理者が認証されたユーザーに SCMANAGER をアクセスする権利を付与しません。 また、このコマンド頻繁許可しません SCMANAGER への適切なアクセス。 代替 SC コマンドを指定したセキュリティ グループに直接この権利を与えるを実行することができます。

この代替コマンド作業をするは、セキュリティ グループの SID を取得することがでく必要があります。 これを行うには、PSGETSID などのツールを使えます。 PSGETSID の詳細については、次のマイクロソフト Web サイトを参照してください。

方法 1: 十分なアクセス許可を認証されたユーザーに付与するのに Sc.exe ツールを使用します。

バージョン 5.2.3790.1830 %windir%\system32 フォルダーにあるいる Sc.exe ツールの使用します。 Sc.exe ツール復元機能を追加または Windows Server 2003 SP1 を実行しているコンピューターでメールが有効なユーザーの電子メール アドレスを編集できます。 Exchange で Sc.exe ツールを実行サーバーをリモートで接続している、およびし、次は、コマンド プロンプトで入力します。 メモ アクセス許可の文字列は、セキュリティ記述子定義言語 (SDDL) で指定します。 SDDL 文字列にスペースを含めません。 したがって、このコマンドは、SCMANAGER 後の"D"で始まるではありませんスペース、残りのコマンドの。 誤ってしてスペースを追加すると、コマンドを実行は SCMANAGER からすべてアクセス許可を誤って削除することができます。 この occurrs、 SC SDSHOW SCMANAGER ] でアクセスが拒否されました"というエラーを場合。 次に、既定のアクセス許可を次のレジストリ キーを削除して、サーバーを再起動復元できます。 サーバーを再起動した後、 SC SDSET コマンドをもう一度を使用して元問題が解決を試みます。

次のアクセス許可をコマンドを実行した後付与されるです。

• 随意アクセス制御リスト (DACL)
  • 認証されたユーザーを許可: SDDL_CREATE_CHILD、SDDL_LIST_CHILDREN、SDDL_READ_PROPERTY、SDDL_READ_CONTROL
  • ユーザー対話モード ログオンを許可: SDDL_CREATE_CHILD、SDDL_LIST_CHILDREN、SDDL_READ_PROPERTY、SDDL_READ_CONTROL
  • サービス ログオンのユーザーへの許可: SDDL_CREATE_CHILD、SDDL_LIST_CHILDREN、SDDL_READ_PROPERTY、SDDL_READ_CONTROL
  • システムへの許可: SDDL_CREATE_CHILD、SDDL_LIST_CHILDREN、SDDL_READ_PROPERTY、SDDL_WRITE_PROPERTY、SDDL_READ_CONTROL
  • 組み込みの管理者への許可: SDDL_KEY_ALL
• システム アクセス制御リスト (SACL)
  • すべてのユーザーのアクティビティを監査するグループ: SDDL_AUDIT_FAILURE、SDDL_KEY_ALL
  • すべてのユーザーのアクティビティを監査するグループ: SDDL_INHERIT_ONLY、SDDL_OBJECT_INHERIT、SDDL_AUDIT_FAILURE SDDL_GENERIC_ALL WD
  メモ それでもする場合、エラー メッセージこのアクセス許可のセットの適用後に、次コマンド実行してください:

  D:(A;;CCLCRPRC;;;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD) 
  

  関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください：
  907460? (http://support.microsoft.com/kb/907460/ ) 非管理者ことはできません Windows Server 2003 Service Pack 1 をインストールした後、サービス コントロール マネージャーにアクセス リモート

方法 2: 追加の読み取りおよびユーザー アカウントに書き込みアクセス許可

Microsoft Exchange システム アテンダント サービス上の委任されたユーザー アカウントに読み取りおよび書き込みアクセス許可を追加するには、次の手順に従います。

1. Exchange サーバー上には、Active Directory ユーザーとコンピューター スナップインを起動します。
2. ドメインの名前を右クリックし、 プロパティ を実行します。
3. [ グループ ポリシー ] タブをクリックして、[ 既定のドメイン ポリシー ] をクリックし、グループ ポリシー オブジェクト エディターを開くを 編集 します。
4. コンピューターの構成 を展開する Windows の設定 、 セキュリティの設定 ] を展開を展開し、 [システム サービス を展開します。
5. Microsoft Exchange システム アテンダント サービス を右クリックし、[ プロパティ ] をクリックします。
6. このポリシーの設定を定義 、チェック ボックスをオンを [ セキュリティの編集 ] をクリックします。
7. [ 追加 ] をクリックして、username を入力、[ 名前の確認 ] をクリックし、 [OK] 。
8. [ 読み取り ] チェック ボックスと [ 書き込み ] チェック ボックスをオンし、 [OK] を実行します。
9. 自動 サービスのスタートアップを設定する] をクリックしてモード。 [ [OK] をクリックしてからグループ ポリシー オブジェクト エディターを終了します。
10. [ [OK] をクリックして、Active Directory ユーザーとコンピューター スナップインを終了します。

メモ 得 SC_MANAGER_ENUMERATE_SERVICE アクセス許可サービス コントロール マネージャーに最初 MSExchangeSA の状態を照会できます前に可能性があります。

Exchange サーバーが Gpresult ユーティリティを実行して、既定のドメイン ポリシーのメンバーことを確認します。 設定するには、コマンド プロンプトで次のコマンドを実行します： Gpresult.txt ファイルを開くし、Exchange サーバーの グループ ポリシー オブジェクトの適用した セクションの下の識別名 (DN) が表示されます。 既定のドメイン ポリシーが表示されていない変更を記載されているポリシーのいずれかに適用する必要がありますかする必要があります新しいグループ ポリシー設定を作成し、読み取りと書き込みのアクセス許可を適用します。

マイクロソフトとして認識していますこの問題を記載されているいるマイクロソフト製品の問題。